Violaciones de privacidad y regulación
Algunos de los sistemas defectuosos que hemos discutido previamente son también altamente invasivos para la privacidad de las personas, llegando a controlar, por ejemplo, la duración de su última relación romántica [51]. Un caso reciente y paradigmático es la prohibición de ChatGPT en Italia, motivada por serias preocupaciones de privacidad y una potencial infracción del Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) [52]. La autoridad italiana de protección de datos argumentó que la aplicación había sufrido una brecha de seguridad que afectaba a conversaciones de usuarios e información de pago. Además, señaló la falta de base legal que justifique “la recopilación y el almacenamiento masivo de datos personales con el fin de ‘entrenar’ los algoritmos que sustentan el funcionamiento de la plataforma,” junto con inquietudes sobre la verificación de la edad de los usuarios [52]. Esta acción podría sentar un precedente, con reguladores de privacidad en Francia, Irlanda y Alemania evaluando la posibilidad de seguir los pasos de Italia [53]. De forma paralela, se ha hecho público recientemente que empleados de Samsung filtraron inadvertidamente secretos comerciales al utilizar ChatGPT para asistir en la preparación de notas y en la revisión y optimización de código fuente [54, 55]. Otra muestra que pone a prueba los límites éticos y regulatorios es la conducta de la compañía de reconocimiento facial Clearview AI. Esta empresa “rastreó la web pública —incluyendo redes sociales, sitios de empleo, YouTube y Venmo— para crear una base de datos con tres mil millones de imágenes de personas, junto con enlaces a las páginas de origen” [56]. Se han ofrecido pruebas de esta base de datos no regulada a agentes de la ley individuales, quienes la usan frecuentemente sin la aprobación de sus departamentos [57]. En Suecia, este uso ilícito por parte de la fuerza policial resultó en una multa de €250.000 impuesta por el organismo de control de datos del país [57].
ENTIDAD
1 - Humano
INTENCIÓN
1 - Intencional
TIEMPO
2 - Post-despliegue
ID del riesgo
mit60
Linea de dominio
2. Privacidad y Seguridad
2.1 > Compromiso de la privacidad por filtración o inferencia de información sensible
Estrategia de mitigacion
1. Priorizar la implementación de medidas de protección de datos desde el diseño y por defecto (Privacy by Design and Default), con especial énfasis en la seudonimización y el cifrado de datos personales. Es imperativo establecer y documentar rigurosamente la base jurídica que legitime el tratamiento masivo de datos para fines de entrenamiento algorítmico, en estricto cumplimiento con regulaciones como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea. 2. Formalizar un marco de gobernanza de la Inteligencia Artificial (IA) que regule taxativamente el uso interno de modelos externos o no regulados, como las herramientas de IA generativa. Este marco debe prohibir la inyección de secretos comerciales, información sensible o datos personales en dichas plataformas, e incluir un régimen de auditoría y sanciones para mitigar la filtración inadvertida de propiedad intelectual y datos. 3. Establecer un Plan de Gestión de Incidentes de Seguridad (Brechas de Datos Personales) exhaustivo y resiliente. Dicho plan debe articular procedimientos claros para la detección, contención y evaluación del riesgo derivado, asegurando el cumplimiento de los plazos y requisitos regulatorios para la notificación a las Autoridades de Control y a los interesados afectados, conforme al umbral de "alto riesgo" para sus derechos y libertades.